terça-feira, 12 de janeiro de 2016

MAIS UMA SOBRE SEGURANÇA DIGITAL QUE MUITA GENTE NÃO SABIA



TENTAR ENCONTRAR UM CAMINHO SEM OBSTÁCULOS É O MESMO QUE DECIDIR NÃO IR A LUGAR ALGUM.

Faz tempo que navegar na Web passou de passeio no parque a safári selvagem, e mesmo que o internauta conte com um arsenal de segurança responsável, a bandidagem estará sempre um passo adiante. Então, meu amigo, faça o possível e o impossível para evitar que alguém se aposse dos seus dados sigilosos, roube sua identidade e faça um estrago danado nas suas finanças.

Observação: Escusado repetir (mais uma vez) as tradicionais dicas de segurança, até porque quem quiser pode localizá-las facilmente, bastando para isso inserir os termos-chave apropriados no campo de buscas do Blog e pressionar a tecla Enter.

Embora baste navegar por sites comprometidos, baixar aplicativos prenhes de spywares, clicar em links suspeitos (ou em pop-ups idem) e/ou abrir anexos de email contaminados para ter o sistema infectado, os riscos são ainda maiores quando fazemos compras online ou transações financeiras via netbanking. Sites de instituições financeiras e e-commerce costumam ser protegidos. Portanto, jamais forneça informações confidenciais e/ou pessoais se o URL da página não for iniciado por https e/ou o navegador não exibir o ícone de um cadeado, indicando que os dados trafegam criptografados — assim, ainda que alguém consiga interceptar a conexão, não terá como fazer uso dos dados se não dispuser da chave criptográfica respectiva.

O “x” da questão é que, embora a tecnologia HTTP tenha sido desenvolvida de maneira a evitar que intermediários acessem indevidamente o conteúdo transmitido, e que existem aprimoramentos e sofisticações destinados a dificultar ainda mais a ação de abelhudos, segurança absoluta é conversa mole para boi dormir. E como uma análise circunstanciada dos complexos sistemas de redes e seus intrincados protocolos foge ao escopo desta postagem, limito-me a lembrar os leitores de que existem três situações mais ou menos comuns que podem comprometer a segurança dos dados. 

A primeira remete a “bugs” (falhas de programação que resultam em brechas de segurança). Dependendo do site que se está visitando, um bug pode permitir que pessoas não autorizadas visualizem indevidamente os dados ou interfiram de alguma maneira na conexão. Claro que é preciso algum conhecimento tecnológico para explorar essas brechas, mas isso não significa que somente um cracker experiente possa fazê-lo. Pode ser um newbie (*), outro usuário com quem você compartilha uma rede wireless (na escola, no trabalho, ou em restaurantes, aeroportos, lanhouses, etc.) ou mesmo um provedor — o seu provedor de acesso à internet, o provedor que hospeda o site que você visita ou os provedores intermediários que participam dessa intercomunicação. Note que essa prática não é exatamente comum, mas a possibilidade existe, tanto assim que a NSA (agência de segurança norte-americana) se aproveitou de fraquezas no SSL/HTTPS para monitorar tráfego que não devia ser passível de interceptação.

(*) Newbie (ou Wannabe) é como são chamados, no underground informática, os “aprendizes de feiticeiro” — que, com as ferramentas certas, podem causar um bocado de estrago.

A segunda, mais intrínseca ao nosso cotidiano, é o uso de computadores públicos (de escolas, empresas, lanhouses, etc.), que podem adotar certificados especiais destinados a possibilitar a captura do tráfego. Esses certificados costumam ser instalados nas máquinas, que têm o sistema configurado para sempre confiar nesses certificados "extras". Assim, ainda que o "cadeado" da conexão HTTPS seja exibido, não há como ter certeza de que o computador não foi alterado para suprimir o alerta sobre uma conexão intermediada. Evite, portanto, realizar transações bancárias ou compras virtuais usando redes públicas ou, pior ainda, máquinas que não sejam o seu próprio computador.

A terceira tem a ver com o computador do próprio usuário (pois é, lembre-se do que eu disse sobre “segurança absoluta”). Se algo mudou a configuração de certificados do seu PC, é possível que alguma fragilidade deixe o acesso vulnerável à bisbilhotice de intermediários. É o caso de um app (SUPERFISH) que a Lenovo instalou em seus computadores, e de uma configuração insegura implementada pela DELL nos dela. Mas essas falhas não são lá muito fáceis de explorar e, portanto, não têm grande utilidade para provedores e invasores pé-de-chinelo.

Seja como for, cautela e canja de galinha não faz mal a ninguém. Para bom entendedor...